从刷票了解如何得到客户端IP

个人我的博客，源地址：http://www.woniubi.cn/get_client_ip/

前两个星期帮一个朋友的亲戚的孩子刷票，谁让我们是程序员呢。这当中也遇到太重装系统，除灰尘，淘宝购物，盗QQ，下电影，某一个软件为何不能使用等等，要是说不会，他们就说你电脑技术不是挺牛逼的吗，这点问题都解决不了。

刷票，分为多种限制，注册用户，验证码，以及IP限制。这个刷票网站，而不，是这个投票网站，限制了IP。若是要突破限制，咱们须要了解如何得到用户的IP。

1：getenv('HTTP_X_FORWARDED_FOR')
2：getenv('HTTP_CLIENT_IP')
3：getenv('REMOTE_ADDR')

HTTP_X_FORWARDED_FOR

这个是从http header头部得到，他的格式是A ip, B ip, C ip。出现这种状况的缘由有两种

1. 一个网站因为流量过大，使用负载均衡，因此在应用程序前面放一个负载均衡器，用户没法直接访问到。
2. 用户使用代理去访问。

用户先是使用A IP，每增长一层代理，这个头就会在后面多增长一个IP，以逗号分割，最后到达真正的web容器。只要是头部得到信息，都是能够被伪造的。因此这种状况使用A IP 有可能不是用户的真实IP。因此咱们这种状况，咱们只能把链接负载均衡的IP当作用户的真实IP，至少这个数据是正确的。可是这个IP多是用户的代理IP，不是用户的真实IP。不过这种状况至少比用户的假ip好一些。

HTTP_CLIENT_IP

这个也是从header头部得到，原本是打算记录用户真实IP，可是不多使用到。

REMOTE_ADDR

这个就是得到链接的IP，只有小网站才这么使用，直接把数据暴漏出去，站点就是一个单点，没有任何的负载均衡。若是上层使用了pxory，这个数据就是proxy的IP。

而我做恶就是直接伪造x-forwarder-for数据，而后欺骗他们，不过没过几天，这个漏洞被发现了，而后我就换成使用代理的方式的直接刷的。